网络安全常见面试题

计算机网络

OSI模型和TCP/IP体系结构？

OSI模型：从下到上为物理层，数据链路层，网络层，传输层，会话层，表示层，应用层。

TCP/IP结构：从下到上为网络接口层，网际层，传输层，应用层

TCP/IP的三次握手和四次挥手过程，且为什么要这样？

三次握手

客户端给服务器发送数据：

客户端给服务器发送SYN包，询问是否可以进行连接
服务器若可以进行连接，回复SYN+ACK包
客户端回复一个ACK包，连接建立

四次挥手

处于连接状态的客户端给服务器发送数据：

客户端首先给服务器发送一个FIN包，表示要关闭连接。
服务器接收到FIN包后，给客户端发送一个ACK包，代表已经接受了关闭连接的请求，但是未传输完的数据仍要继续传输。
当传输数据传输完之后，服务器给客户端发送一个FIN包。
客户端给服务器回复一个ACK包，中止连接。

为什么这样？

为了建立可靠传输，解决信道不可靠的问题。

私有IP的地址划分

分为三类：

A类：10.0.0.0-10.255.255.255
B类：172.16.0.0-172.31.255.255
C类：192.168.0.0-192.168.255.255

TCP和UDP的区别和优缺点

UDP:

基于无连接的
不可靠的，只是发送数据包，不考虑对方能否接受到
用于即时性要求很高的场合
TCP：
面向连接的，可靠的
发送字节流，对方一定要接收到且不能保证丢失数据。
常用：流量控制、超时重传、拥塞控制等机制来保证可靠传输。
建立连接需要消耗时间和资源。

正向Shell和反向Shell的区别？

正向shell：攻击者连接被攻击机器，攻击者处于内网，被攻击机器处于外网的情况。（上传webshell，进行连接）
反向shell：被攻击者主动连接攻击机器，被攻击者处于内网，攻击者处于外网。（反弹shell）

正向代理和反向代理的区别？

正向代理：客户端将数据发送给代理，代理把数据发送给服务器。

服务器无法感知客户端是谁。

反向代理：假设内网有一台web服务器，客户端无法直接访问内网。那么，我们可以将web服务器反向代理到外网的nginx服务器，此时客户端访问nginx服务器，就访问到web资源了。

客户端无法感知服务器是谁。
提高服务器的安全性。

常见防火墙种类

Web应用防火墙
包过滤防火墙
代理防火墙
状态检测防火墙

HTTP和HTTPS的区别？

HTTPS协议需要用到证书（公钥和私钥），HTTP不需要。
HTTP信息明文传输，HTTPS信息加密传输。
HTTP端口80、HTTPS端口443。
HTTPS协议基于SSL+HTTP协议比HTTP更加安全。

HTTPS工作原理？（非对称加密和对称加密结合）

客户端发起https请求，连接到服务器的443端口
服务端生成证书（私钥和公钥）
传送服务器的公钥
客户端解析公钥，验证公钥是否有效，如果无效，提示证书存在问题，如果有效，那么客户端生成一个随机值（私钥）用服务器的公钥加密，传输到服务器上。
服务器将加密后的值用自身的私钥解密，得到客户端的私钥，然后将明文通过客户端的私钥进行对称加密。
服务器将密文进行传输
客户端用自己之前生成的私钥解密传过来的信息，获取了解密后的内容。

在上述过程中，用非对称加密传输密钥，确保安全性。用对称加密来加解密数据，速度快。

系统（Windows及Linux）方面常问

如何手工判断对方操作系统？

修改url参数，改成大写，正常为Windows，不正常为Linux
ping服务器，看TTL值
看数据包，如果数据包中存在IIS，肯定Windows。

Windows和Linux查看开放端口和运行服务的命令？

Windows：

开放端口：netstat -ano | findstr 关键字
查看正在运行的服务：net start

Linux:

开放端口：netstat -tuln | grep 关键字
查看正在运行/不运行的服务：service –status-all | grep +/-

Windows或Linux被植入后门文件，讲一下你的排查点

查看日志
查看是否存在异常用户
查看异常/隐藏进程
查看系统文件的时间是否被改动、系统文件的内容是否被改动
检查网络
检查计划任务
检查后门程序
检查系统服务
…

Web安全

OWASP TOP 10

注入（SQL注入、表达式注入等）
失效的身份验证
– 无验证
– 验证脆弱
– 验证可绕过
敏感数据泄露
– 身份证、电话号码、姓名、学号、密码等泄露
– 抓包，后端将全部内容返回，前端只取了一部分
XML/XXE
– 外部实体引入导致RCE等漏洞
失效的访问控制
– 越权、未授权访问
配置不当导致漏洞
– IIS PUT漏洞
XSS
– 用户可以对页面内容进行改变，写入恶意JS语句
反序列化漏洞
– 用户根据序列化字符串，构造恶意对象，当反序列化之后，就会调用魔术方法，从而导致RCE、信息泄露、getshell等
第三方组件、框架漏洞
– Weblogic、Shiro、Spring、Log4j等组件出现漏洞，导致网站被入侵。
不足的日志和监控
– 日志收集不足、缺陷检测时间过长导致黑客入侵无法被溯源反制。

SQL注入原理的种类？防御？预编译原理？

原理？

服务器在接收客户端的数据时，由于没有对数据进行过滤，导致未过滤的数据被拼接到SQL语句中并执行。

种类？

数字型
字符型
联合注入
布尔注入
延时注入
报错注入
二次注入
堆叠注入
宽字节注入
HTTP头注入

修复？

预编译
正则表达式过滤
开启魔术引号，对特殊字符加转义
装WAF

预编译原理？

将一次SQL语句的执行分为两次交互完成：

先发送SQL语句的模板，对于参数部分，用占位符代替，例如Mybatis中用？
对于客户端传递过来的参数传入到模板中，仅仅被当作是字符串执行，因此杜绝了SQL注入的产生。

XSS的种类有哪些？区别？修复？

种类？

存储型
反射型
DOM型

原理/区别？

XSS就是js代码。XSS本质就是输入和输出。用户可以控制输入的内容，服务器如果对输入的内容没有经过任何过滤，那么用户就可以构造恶意XSS从而对html页面进行改变，对用户进行攻击。

存储型：将js代码存储到了数据库中，当用户访问了带有恶意js代码的页面时，js代码就会从数据库中调取出来，从而被加载到页面中执行。

存储型比反射型危害更大，因为会一直存储在数据库中。
只要用户访问了恶意页面，就会收到攻击。
不需要用户的配合。
常出现在用户留言板等业务中

反射型：常出现在url中，攻击者构造带有XSS的恶意链接，欺骗用户点击，从而导致XSS。

反射型XSS一般都是一次性的
需要用户配合（配合社工）
用户正常访问不会受到XSS。

DOM型：上述提到的输入，处理，输出都是在前端完成。

修复？

开启http-only，防止cookie盗取
过滤JS标签
对于输入的数据进行转义等（魔术引号）
装WAF等

XSS，CSRF,SSRF区别？

XSS：跨站脚本攻击
CSRF：跨站请求伪造
SSRF：服务器端请求伪造

XSS:服务器对于用户的输入过滤不严，导致用户可以向html页面注入恶意js代码，当用户访问页面时，浏览器就会解析恶意js代码，从而导致危害。（突出点在于js代码）

CSRF:胁持用户浏览器强制做出某些行为。（突出点在于行为，发送数据包）在这个过程中，攻击者会利用用户对已知站点的信任，在用户不知情的状态下，执行相关行为。

SSRF：服务器代替攻击者去请求url中的数据，如果url为内网地址，那么攻击者就相当于挟持了服务器的身份来访问内网的内容。

什么是XXE漏洞？

XXE即XML外部实体注入漏洞，当应用程序解析XML输入时，没有禁用外部实体的加载，导致可以加载恶意外部文件，造成命令执行、SQL注入、信息泄露、带外执行等。

PHP反序列化？

攻击者根据类和序列化字符串，构造恶意对象，当反序列化之后，就会调用魔术方法，从而导致RCE、信息泄露、getshell等

PHP反序列化通常都会使用魔术方法，当序列化字符串进行反序列化时，就会调用相应的魔术方法，从而导致RCE等。

如何构造？从源码中找到类，修改属性，通过PHP的serialize方法来产生序列化字符串。

Java反序列化？

Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，其
作用把对象转换成字节流，便于保存或者传输，而ObjectInputStream类的
readObject()方法用于反序列化，作用就是把字节流还原成对象。

Shiro反序列化？

shiro反序列化主要是Apache shiro提供了一个remember的一个功能，用户登录成功后会生成经过加密并编码的cookie，保存在浏览器中方便用户的日常使用，而服务器对cookie的处理流程就是先获取浏览器上保存的cookie，然后将其bs64解码，再进行AES解密，再将其反序列化进行校验，而漏洞就是出现在这里，我们都知道AES它是一个硬编码，他是有默认密钥的，如果程序员没有去修改或者过于简单，那我们就可以进行cookie重构，先构造我们的恶意代码，然后将恶意代码进行序列化，然后AES加密(密钥我们已经爆破出来了)，再进行bs64编码，形成我们新的cookie，而服务器在处理时就会按照刚才的处理流程，就会在服务端触发我们构造的恶意代码。

如何发现某系统采用了Shiro框架？

手工：

尝试去登录，如果登录失败发现返回包存在rememberMe=deleteMe字段，那么就基本可以判断是Shiro框架。

工具：

goby
网络引擎
shiroscan
插件

原理：

未登陆的情况下，请求包的cookie中没有rememberMe字段，返回包setCookie里也没有deleteMe字段
登陆失败的话，不管勾选RememberMe字段没有，返回包都会有rememberMe=deleteMe字段
不勾选RememberMe字段，登陆成功的话，返回包set-Cookie会有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段
勾选RememberMe字段，登陆成功的话，返回包set-Cookie会有rememberMe=deleteMe字段，还会有rememberMe字段，之后的所有请求中Cookie都会有rememberMe字段

业务逻辑漏洞的种类？

越权
未授权
支付金额修改
条件竞争
任意用户注册
任意用户登录
短信轰炸机
…

给你一个登录框，思路？

SQL注入
XSS
任意用户注册
任意用户登录
js分析，查看代码逻辑，查看是否存在信息泄露？
抓包
验证码爆破、轰炸、重用
弱口令，构造社工字典，爆破
未授权访问
看返回包返回的数据，是否存在信息泄露？
社会工程学
…

CDN和DNS区别？

CDN：内容分发网络，主要作用就是让用户就近访问网络资源，提高响应速度，降低网络拥堵。
DNS：主要作用就是将域名翻译成ip地址。

CDN检测和绕过思路？

检测？

超级ping
查看返回包，是否存在域名为cdn.xxx的文件，如果存在就是从CDN节点所请求的缓存资源。

绕过？

子域名绕过
国外ping
采用CDN脚本进行全网扫描
内部邮件泄露(反向连接的手段)
…

常见的中间件漏洞？

IIS：PUT漏洞、短文件名漏洞
Apache：解析漏洞、目录遍历等
Redis：未授权访问漏洞等
Nginx：解析漏洞、目录遍历、目录穿越等
Shiro：反序列化漏洞等
Tomcat：RCE漏洞、war后门文件部署等
JBoss：反序列化漏洞、war后门文件部署等
WebLogic：反序列化漏洞、war后门文件部署等
…

WAF绕过的手法？

信息搜集：

延迟，防止CC攻击检测
代理池
修改UA头等绕过黑名单，符合白名单
漏洞发现：
同上
漏洞利用：
参考各种Web漏洞的利用绕过方式
权限控制：
代码方面的免杀

传参绕过
变量覆盖
源码加密
异或绕过
…

行为方面的免杀

根据工具的流量特征，进行二次开发，从而达到免杀

命令无回显怎么办？

延时判断
DNSLog外带
监听http请求
写webshell
…

3389端口无法连接的情况？

端口改了
超过了服务器最大连接数
服务器在内网
端口关了
管理员设置权限，只允许指定用户登录
防火墙

常问的端口信息

21：FTP文件传输协议
22：SSH远程连接
23：TELNET远程登录
25：SMTP邮件服务
53：DNS域名系统
80：HTTP超文本传输协议
443：HTTPS安全超文本传输协议
1433：MSSQL
3306：MYSQL
3389：windows远程桌面服务端口
7701：weblogic
8080：TCP,HTTP协议代理服务器：Apache-tomcat默认端口号
6379：redis
…

什么是业务逻辑漏洞？说出至少三种业务逻辑漏洞。

逻辑漏洞是指由于程序逻辑不严或逻辑太复杂，导致一些逻辑分支不能够正常处理或处理错误。挖掘业务逻辑漏洞，需要对业务有深刻的理解。

拿支付漏洞来说，简单思路有价格修改，支付状态修改，数量最大值溢出，订单替换，支付接口替换，四舍五入，越权支付等等。

拿登录来说，修改状态信息，密码修改跳过验证等等。

密码找回漏洞中存在：1）密码允许暴力破解、2）存在通用型找回凭证、3）可以跳过验证步骤、4）找回凭证可以拦包获取。

身份认证漏洞中最常见的是：1）会话固定攻击、2）Cookie 仿冒。只要得到Session 或 Cookie 即可伪造用户身份。

验证码漏洞中存在：1）验证码允许暴力破解、2）验证码可以通过Javascript 或者改包的方法来进行绕过。

拿到webshell不出网情况下怎么办？

探测出网协议、如dns带外，icmp等

PHP代码执行/命令执行的危险函数

代码执行：eval()、call_user_func()等
命令执行：system()、shell_exec()、exec()、passthru()等

SSRF禁用 127.0.0.1 后如何绕过，支持哪些协议？

缩写绕过
进制绕过
dns重绑定
301重定向
…

.SVN/GIT源代码泄露？

在使用SVN管理本地代码过程中，会自动生成一个名为.svn的隐藏文件夹，其中包含重要的源代码信息

使用git进行版本控制，对站点自动部署。如果配置不当，可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

为何一个mysql数据库的站，只有一个80端口开放？

3306端口已经更改
站库分离，3306端口不对外开放。

注入时可以不使用and 或or 或xor，直接order by开始注入吗？

and/or/xor，前面的1=1、1=2步骤只是为了判断是否为注入点，如果已经确定是注入点那就可以省去这个步骤。

在有shell的情况下，如何使用xss实现对目标站的长久控制？

在后台的首页文件加一段js代码，将管理员的cookie发送到攻击者的服务器当中。这样的话，只要管理员不登出，那么攻击者就可以以管理员身份登录。

或者在登录界面加一段js代码，如果用户登录成功，那么就将用户名和密码发送到恶意服务器当中。（表单劫持）

目标站无防护，上传图片可以正常访问，上传脚本格式访问则403.什么原因？

原因很多，有可能web服务器配置把上传目录写死了不执行相应脚本，尝试改后缀名绕过。

access 扫出后缀为asp的数据库文件，访问乱码。如何实现到本地利用？

迅雷下载，直接改后缀为.mdb。

文件包含Getshell思路？

伪协议绕过
日志包含绕过
远程包含绕过
…

文件上传Getshell思路

前端绕过
短标签绕过
Content-Type值绕过
.user.ini绕过
日志包含绕过
…